Unter der Überschrift „Neuer datenschutzrechtlicher Angemessenheitsbeschluss der EU für die USA“ hatten wir vor knapp zwei Jahren über den neuen „Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA“, das „EU-U.S. Data Privacy Framework“ oder „Trans-Atlantic Data Privacy Framework“ (englisch für „Transatlantisches Datenschutzrahmenwerk“), berichtet.
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden. Am 3. Juli 2023 teilte dann das U.S. Department of Commerce mit, dass offiziell alle Maßnahmen des EU-U.S. Data Privacy Frameworks umgesetzt seien.
Zuvor hatte US-Präsident Biden mit der Executive Order 14086 unter anderem den Datenzugriff der Nachrichtendienste formell auf das für den Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken versucht; überdies wurde ein neuer Rechtsbehelfsmechanismus für Betroffene in Europa geschaffen und mit dem Privacy and Civil Liberties Oversight Board (PCLOB) eine Aufsicht installiert.
Es handelte sich – nach der Ungültigkeit der beiden zuvorigen Angemessenheitsbeschlüsse – um den dritten Anlauf der EU-Kommission, eine für Unternehmen äußerst praxisrelevante Erleichterung für grenzüberschreitende Datenverarbeitungen von der EU in die USA zu erreichen.
Äußerst praxisrelevant: Die größten Softwareanbieter stammen aus den USA
Ohne Unterstützung von Computerprogrammen („Software“) und der entsprechenden Datenverarbeitung kommt kaum ein mittelständisches Unternehmen mehr aus. Die größten Software- und Cloudanbieter stammen dabei aus den USA. Teilweise sind US-Anwendungen schlicht schwer schwer ersetzbar. Die Programme – genauer: deren Nutzbarkeit – werden oft nur noch via „Cloud“, also über verteilte Rechner, vertrieben. Die Software ist aber nur das eine. Das andere sind die Daten, die verarbeitet werden. Darunter sind fast immer auch personenbezogene Kunden- oder Mitarbeiterdaten. Hierüber haben wir hier berichtet.
Wenn, wie häufig, der Cloud-Anbieter oder seine Unterauftragnehmer außerhalb Europas ansässig sind, sieht die DSGVO weitere Schritte vor, um den Datentransfer absichern.
Auswirkungen eines Angemessenheitsbeschlusses
Eine an sich sehr bequeme Lösungsmöglichkeit ist die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO. Fehlt für ein Land ein solcher, wird häufig versucht, den Drittlandstransfer mit den sog. EU- Standardvertragsklauseln abzusichern, deren Neufassung seit dem 27.09.2021 zwingend für Neuverträge zu verwenden sind. Werden diese Vertragsinhalt, gilt dies als „geeignete Garantie“ im Sinne des Art. 46 DSGVO.
Mit einem Angemessenheitsbeschluss sind Datenübermittlungen an Datenempfänger, die unter dem EU-U.S. Data Privacy Framework zertifiziert sind, formal nicht zu beanstanden und erheblich erleichtert. Ist ein Unternehmen nach dem EU-US DPF zertifiziert, gilt es nach Art. 44, 45 DSGVO als ein sicherer Datenempfänger. Eine Datenübermittlung an diesen Empfänger bedarf dann rechtlich keiner weiteren Sicherheitsmaßnahmen. Insbesondere müssen mit dem Unternehmen dann in streng rechtlicher Hinsicht auch keine EU-Standardvertragsklauseln abgeschlossen werden.
Haltbarkeit derzeit äußerst fragil
Bereits vor knapp 2 Jahren hatten wir – zugegebenermaßen ohne die konkreten Handlungen der neunen US-Regierung abzusehen – gemutmaßt, dass das 137-Seiten-starke Dokument des EU-U.S. Data Privacy Frameworks von nur kurzer Haltbarkeit sein könnte und rieten: Unternehmen könnten gut daran tun, die abermalige Unwirksamkeit des Angemessenheitsbeschlusses in ihre Risikoerwägungen mit einzubeziehen.
Anlass für die derzeitige Einschätzung, dass der derzeitige Angemessenheitsbeschluss kurzfristig kippen könnte, ist zum einen, dass Trump innerhalb der vergangenen Wochen die von Biden eingeführte Executive Order 14086 mehrfach in Frage gestellt hat. Zum anderen sind kürzlich Mitglieder des Kontrollgremiums, das den Rechtsbehelfsmechanismus für Betroffene in Europa überwacht, kurzfristig entlassen worden.
Die Haltbarkeit des EU-US Data Privacy Framework ist daher derzeit äußerst fragil. Darüber hinaus stellt sich die Frage, ob bei einem Scheitern des EU-U.S. Data Privacy Frameworks die politischen Akteure mittelfristig überhaupt noch ein neuen (dann vierten (!)) Anlauf für ein neues Abkommen wagen würden.
Hinweis für die Praxis:
Die Unwirksamkeit EU-US Data Privacy Framework – beispielsweise per Widerruf – würde viele Unternehmen vor die Herausforderung stellen, ihre Datenübermittlungen sicher und rechtskonform zu gestalten. Die USA würden nicht weiter als sicheres Drittland nach Art. 45 DSGVO gelten, selbst wenn eine Zertifizierung teilnehmender Unternehmen auf US-Seite besteht.
Datenübermittlungen in die USA wären mit hohen Risiken verbunden, sofern von den Betroffenen keine wirksamen Einwilligungen eingeholt worden sind. Einwilligungen dürften jedoch in vielen Fällen weder eingeholt worden sein noch dürfte diese Lösung für Unternehmen für die Zukunft überhaupt praktikabel sein.
Ein Rückgriff auf die sog. „EU-Standardvertragsklauseln“ wäre in jedem Falle angezeigt.
Unternehmen werden aber, beispielsweise durch eine Datenschutzfolgeabschätzung, konkret prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind und gegebenenfalls zusätzliche Maßnahmen ableiten müssen.
Der EuGH hat unmissverständlich festgestellt:
Die Aufsichtsbehörden müssen gemäß Art. 58 (2) (f) und (j) DSGVO die Datenübermittlung verbieten oder ihre Aussetzung anordnen, wenn
- keine gültige Angemessenheitsentscheidung der EU Kommission vorliegt,
- weder die geeignete Garantie noch zusätzliche Maßnahmen den Schutz der in ein Drittland übermittelten Daten hinreichend sicherstellen
- und der Datenexporteur die Datenübermittlung nicht selbst aussetzt oder beendet
Unternehmen sollten in jedem Falle kurzfristig
- feststellen, ob und welche personenbezogenen Daten sie – oder von ihnen beauftragte Unternehmen für sie (!) – in die USA übermitteln und
- für diese Übermittlungen EU-Standarddatenschutzklauseln mit den Empfängern abschließen
- bei Einführung neuer (Cloud-)Dienstleister alternative, europäische Anbieter oder Unternehmen in anderen sicheren Drittstaaten in Betracht ziehen
Weitere Maßnahmen, wie beispielsweise Verschlüsselungen oder, wo möglich, sogar Anonymisierungen, sind anzuraten.
Wir empfehlen Ihnen, das Thema auf jeden Fall ernst zu nehmen, um Bußgelder und Untersagungsverfügungen zu vermeiden. Gern unterstützen wir Sie bei individuellen Prüfungen oder Fragen.
Autor: Oliver Korth, LL.M.
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
